Toàn bộ Giáo trình Quản trị Môi trường Mạng Phần 1 - CĐ Cơ điện Hà Nội

Lịch sử của hệ điều hành máy chủ Microsoft bắt đầu với Windows NT, ra mắt năm 1993, đặt nền móng cho việc quản lý mạng theo cả mô hình client-server và mạng ngang hàng. Tiếp nối thành công, Windows Server 2000 mang đến một cuộc cách mạng với sự ra đời của Active Directory, cải tiến hạ tầng TCP/IP và tăng cường bảo mật. Sau đó, Windows Server 2003 tối ưu hóa hiệu suất, tích hợp các tính năng cơ bản của Mail Server (POP3, SMTP) và hỗ trợ quản trị từ xa tốt hơn. Cuối cùng, Windows Server 2008 ra đời, kế thừa và cải thiện mạnh mẽ các phiên bản trước. Theo tài liệu gốc của Trường Cao đẳng Cơ điện Hà Nội, Windows Server 2008 có các phiên bản chính: Standard, Enterprise, Datacenter và Web Edition, mỗi phiên bản được thiết kế để đáp ứng các nhu cầu khác nhau của doanh nghiệp, từ quy mô nhỏ đến các trung tâm dữ liệu lớn. Việc hiểu rõ sự tiến hóa này giúp người quản trị nhận thức được tầm quan trọng của các tính năng mới trong việc quản trị máy chủ hiện đại.

Windows Server 2008 giới thiệu nhiều tính năng đột phá giúp đơn giản hóa công tác quản trị và tăng cường bảo mật. Server Manager là một giao diện điều khiển hợp nhất, cho phép quản lý các vai trò (roles) và tính năng (features) trên máy chủ một cách tập trung. Server Core là một tùy chọn cài đặt tối giản, giảm diện tích tấn công và yêu cầu cập nhật, phù hợp cho các dịch vụ mạng chuyên dụng. PowerShell, một công cụ dòng lệnh mạnh mẽ, cho phép tự động hóa các tác vụ quản trị phức tạp. Ngoài ra, các tính năng nổi bật khác bao gồm Windows Deployment Services (WDS) để triển khai hệ điều hành từ xa, Terminal Services nâng cao khả năng truy cập ứng dụng, Network Access Protection (NAP) để thực thi chính sách an toàn cho máy khách, và Read-Only Domain Controller (RODC) dành cho các chi nhánh có an ninh vật lý kém. Những công cụ này tạo nên một hệ sinh thái quản trị máy chủ toàn diện, linh hoạt và an toàn hơn.

Quy trình cài đặt Windows Server 2008 yêu cầu sự chuẩn bị kỹ lưỡng về phần cứng. Yêu cầu tối thiểu bao gồm CPU 1 GHz, RAM 512 MB và 15 GB dung lượng đĩa trống, tuy nhiên khuyến nghị là CPU 2 GHz, RAM 2 GB và 40 GB dung lượng trống để đảm bảo hiệu suất. Quá trình cài đặt bắt đầu bằng việc khởi động từ đĩa cài đặt, lựa chọn ngôn ngữ và các thiết lập khu vực. Người dùng cần nhập khóa sản phẩm và chọn phiên bản Windows Server 2008 muốn cài đặt. Bước tiếp theo là chọn loại cài đặt, thường là 'Custom (advanced)' để cài đặt mới, sau đó chọn phân vùng đĩa để cài đặt hệ điều hành. Trình cài đặt sẽ tự động thực hiện các công việc như sao chép tệp tin, cài đặt tính năng và cập nhật. Sau khi hoàn tất và máy chủ khởi động lại, bước cuối cùng là thiết lập mật khẩu cho tài khoản Administrator. Việc hoàn thành các bước này là tiền đề để bắt đầu cấu hình server 2008 và triển khai các dịch vụ.

Active Directory là một dịch vụ thư mục (Directory Service) chứa thông tin về mọi tài nguyên trên mạng, từ tài khoản người dùng, máy tính, máy in cho đến các chính sách bảo mật. Chức năng chính của nó là cung cấp cơ chế xác thực và ủy quyền tập trung. Theo Giáo trình Quản trị Môi trường Mạng, các đối tượng trong AD được mô tả bởi các thuộc tính (Attributes) và được định nghĩa trong một cấu trúc gọi là Schema. AD cho phép quản trị viên tạo ra các đơn vị tổ chức (Organizational Units - OU) để phản ánh cấu trúc phòng ban của công ty, từ đó dễ dàng ủy quyền quản lý và áp dụng các chính sách riêng biệt. Nhờ AD, việc quản lý hàng trăm, thậm chí hàng ngàn người dùng và thiết bị trở nên đơn giản và có hệ thống, thay vì phải cấu hình thủ công trên từng máy. Đây là nền tảng không thể thiếu để xây dựng một môi trường mạng an toàn, có khả năng mở rộng và dễ quản lý.

Domain Controller (DC) là một máy chủ chạy hệ điều hành Windows Server và được cài đặt dịch vụ Active Directory Domain Services (AD DS). Mọi DC trong một domain đều chứa một bản sao của cơ sở dữ liệu AD và tham gia vào quá trình nhân bản (replication) để đảm bảo dữ liệu luôn được đồng bộ. Chức năng chính của DC là xác thực người dùng khi họ đăng nhập và thực thi các chính sách bảo mật của domain. Trong khi đó, Global Catalog là một dịch vụ đặc biệt, thường được đặt trên một số DC nhất định. Nó chứa một bản sao một phần, chỉ đọc của tất cả các đối tượng trong toàn bộ forest. Chức năng của Global Catalog là giúp người dùng và ứng dụng tìm kiếm các đối tượng trong AD một cách nhanh chóng mà không cần biết đối tượng đó thuộc domain nào. Điều này đặc biệt quan trọng trong các môi trường có nhiều domain, giúp quá trình đăng nhập và truy vấn tài nguyên diễn ra hiệu quả hơn.

Hệ thống mạng dựa trên Active Directory hoạt động theo mô hình client-server. Trong mô hình này, máy chủ (server), cụ thể là các Domain Controller, cung cấp các dịch vụ trung tâm như xác thực, quản lý tài nguyên và thực thi chính sách. Các máy trạm (client) là những máy tính của người dùng cuối, chúng tham gia vào domain để được quản lý và sử dụng các tài nguyên do server cung cấp. Khi một người dùng đăng nhập vào máy client đã gia nhập domain, yêu cầu xác thực sẽ được gửi đến DC. DC sẽ kiểm tra thông tin đăng nhập (username và password) so với cơ sở dữ liệu AD. Nếu hợp lệ, DC sẽ cấp một thẻ truy cập (access token) cho người dùng, xác định các quyền hạn của họ trên mạng. Mô hình này cho phép quản trị viên quản lý toàn bộ hệ thống từ một điểm trung tâm, triển khai các dịch vụ mạng như File Server hay Group Policy một cách nhất quán, đảm bảo an ninh và hiệu quả vận hành.

Trước khi nâng cấp một máy chủ thành Domain Controller, cần thực hiện các bước chuẩn bị. Quan trọng nhất là cấu hình địa chỉ IP tĩnh cho máy chủ. Địa chỉ Preferred DNS Server phải trỏ về chính địa chỉ IP của máy chủ đó, vì nó sẽ đóng vai trò là DNS Server cho domain sắp được tạo. Sau khi cấu hình mạng hoàn tất, quá trình nâng cấp được thực hiện bằng lệnh dcpromo trong hộp thoại Run. Trình hướng dẫn Active Directory Installation Wizard sẽ khởi chạy. Người quản trị cần chọn 'Create a new domain in a new forest' để tạo domain đầu tiên, sau đó đặt tên FQDN (Fully Qualified Domain Name) cho domain, ví dụ: 'qtm.local'. Các bước tiếp theo bao gồm thiết lập Forest Functional Level, chỉ định vị trí lưu trữ cơ sở dữ liệu AD, và đặt mật khẩu khôi phục Directory Services Restore Mode (DSRM). Quá trình này sẽ tự động cài đặt các dịch vụ cần thiết và khởi động lại máy chủ để hoàn tất việc nâng cấp.

Sau khi Domain Controller đã được thiết lập, bước tiếp theo là cho các máy trạm gia nhập vào domain. Việc này tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm và domain, cho phép DC quản lý việc xác thực người dùng trên máy trạm đó. Để gia nhập, trên máy trạm, cần cấu hình địa chỉ IP và trỏ Preferred DNS Server về địa chỉ IP của DC. Tiếp theo, truy cập vào System Properties, chọn tab Computer Name và nhấn nút 'Change...'. Trong hộp thoại mới, chọn 'Domain' và nhập tên domain đã tạo. Hệ thống sẽ yêu cầu xác thực bằng một tài khoản có quyền gia nhập máy vào domain, thường là tài khoản Administrator của domain. Khi xác thực thành công, một thông báo chào mừng sẽ xuất hiện và máy trạm cần khởi động lại để áp dụng thay đổi. Từ lúc này, người dùng có thể đăng nhập vào máy trạm bằng tài khoản người dùng được tạo trên domain.

Active Directory có một cấu trúc logic phân cấp. Domain đầu tiên được tạo trong một tổ chức sẽ trở thành gốc của một Forest (rừng). Forest là ranh giới cao nhất của AD, đại diện cho toàn bộ tổ chức. Bên trong một forest, có thể có một hoặc nhiều Domain Tree (cây domain). Một Domain Tree là một tập hợp các domain có chung một không gian tên liền kề, ví dụ: qtm.local (root domain) và con.qtm.local (child domain). Mối quan hệ giữa các domain trong cùng một forest được thiết lập tự động thông qua các Trust Relationship hai chiều và bắc cầu. Trust Relationship là một liên kết logic cho phép người dùng ở một domain có thể truy cập tài nguyên ở một domain khác. Ngoài các trust tự động trong forest, quản trị viên cũng có thể tạo các trust thủ công (External, Forest trust) để kết nối với các domain thuộc forest khác, tạo điều kiện cho việc chia sẻ tài nguyên giữa các tổ chức.

Windows Server 2008 hỗ trợ ba loại tài khoản người dùng. Local User Account được tạo trên từng máy tính và chỉ có quyền truy cập tài nguyên trên chính máy đó. Domain User Account được tạo trong Active Directory và được lưu trữ trên Domain Controller. Người dùng với tài khoản domain có thể đăng nhập vào bất kỳ máy tính nào trong domain và truy cập tài nguyên mạng theo quyền được cấp. Cuối cùng, Built-in User Account là các tài khoản được tạo sẵn, bao gồm Administrator (có toàn quyền quản trị) và Guest (quyền hạn chế, mặc định bị vô hiệu hóa). Việc quản lý các tài khoản này bao gồm việc tuân thủ quy tắc đặt tên (không chứa ký tự đặc biệt, duy nhất trong domain), thiết lập yêu cầu mật khẩu phức tạp, và cấu hình các tùy chọn như giờ đăng nhập (Logon Hours) hay giới hạn máy tính được phép đăng nhập để tăng cường bảo mật.

Organizational Unit (OU) là một đối tượng container trong Active Directory, có thể chứa người dùng, nhóm, máy tính và cả các OU khác. Mục đích chính của việc xây dựng cấu trúc OU là để tổ chức các đối tượng một cách logic, thường là dựa trên cấu trúc phòng ban (Kế toán, Kinh doanh) hoặc vị trí địa lý (Hà Nội, TPHCM). Lợi ích lớn nhất của OU là khả năng ủy quyền quản trị (Delegation of Control). Thay vì cấp quyền quản trị toàn bộ domain cho một người, ta có thể ủy quyền cho trưởng phòng Kế toán quyền quản lý các tài khoản người dùng chỉ trong OU Kế toán (ví dụ: reset mật khẩu, tạo user mới). Ngoài ra, OU là cấp độ mà các đối tượng Group Policy (GPO) có thể được liên kết để áp dụng các chính sách cụ thể cho một nhóm người dùng hoặc máy tính, giúp việc quản trị trở nên linh hoạt và chi tiết hơn.

User Profile chứa các thiết lập cá nhân của người dùng như nền desktop, Favorites, và cấu hình ứng dụng. Windows Server 2008 cung cấp hai cơ chế quản lý profile nâng cao. Home Directory (hay Home Folder) là một thư mục riêng của người dùng được lưu trữ trên một File Server. Thư mục này sẽ tự động được ánh xạ (map) thành một ổ đĩa mạng khi người dùng đăng nhập, cung cấp một nơi lưu trữ dữ liệu tập trung, an toàn và dễ sao lưu. Roaming Profiles là một cơ chế cho phép profile của người dùng được lưu trữ trên máy chủ. Khi người dùng đăng nhập vào bất kỳ máy tính nào trong mạng, profile của họ sẽ được tải về máy đó. Điều này đảm bảo người dùng có một môi trường làm việc nhất quán trên mọi thiết bị. Tuy nhiên, Roaming Profiles có thể làm chậm quá trình đăng nhập nếu profile có dung lượng lớn, đòi hỏi quản trị viên phải cân nhắc kỹ lưỡng khi triển khai.